43 - Pentesting WHOIS

Tip

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporte o HackTricks

Informações Básicas

O protocolo WHOIS é o método padrão para consultar os registrantes ou titulares de diversos recursos da Internet em bancos de dados específicos. Esses recursos incluem nomes de domínio, blocos de endereços IP e sistemas autônomos, entre outros. Além disso, o protocolo é usado para obter uma gama mais ampla de informações.

Porta padrão: 43

PORT   STATE  SERVICE
43/tcp open   whois?

Do ponto de vista ofensivo, lembre-se de que WHOIS é apenas um serviço TCP de texto simples: o cliente envia uma query, o servidor retorna texto legível por humanos, e o fechamento da conexão marca o fim da resposta. Não há autenticação, integridade ou confidencialidade embutidas no protocolo.

Realidade Moderna: WHOIS vs RDAP

Para dados de registro de domínio na Internet, WHOIS não é mais a opção autoritativa para muitos fluxos de trabalho de gTLD públicos. ICANN descontinuou WHOIS para dados de registro de gTLD em 2025-01-28, tornando RDAP o protocolo a ser preferido para consultas de registro de domínio legíveis por máquina.

No entanto, TCP/43 ainda vale a pena testar porque continua aparecendo em:

  • Serviços WHOIS legados ou privados
  • RIR / fluxos de trabalho de alocação de IP
  • Registros internos e bases de dados personalizadas de ativos
  • Ferramentas web de terceiros e automações antigas que ainda confiam nas respostas WHOIS

Se seu objetivo é reverse whois, expansão de ativos mais ampla, ou recon externo recursivo, consulte the External Recon Methodology page para evitar duplicar trabalho aqui.

Enumerar

Obtenha todas as informações que um serviço WHOIS tem sobre um domínio:

whois -h <HOST> -p <PORT> "domain.tld"
printf 'domain.tld\r\n' | nc -vn <HOST> <PORT>

Se encontrar um serviço WHOIS voltado ao público, teste ambos os tipos de consultas domain e IP/ASN, porque muitas implementações expõem backends ou parsers diferentes dependendo do tipo de objeto:

# Domain
printf 'example.com\r\n' | nc -vn <HOST> 43

# IP / CIDR / ASN examples
printf '8.8.8.8\r\n' | nc -vn <HOST> 43
printf 'AS15169\r\n' | nc -vn <HOST> 43

Observe que às vezes, ao solicitar algumas informações a um serviço WHOIS, o banco de dados em uso aparece na resposta:

Referral Chasing e Melhor Enumeração

Muita enumeração útil de WHOIS está escondida por trás de referrals. Por exemplo, um servidor pode apenas apontar você para o próximo servidor WHOIS autoritativo para um TLD ou um RIR. Isso vale a pena testar manualmente porque alguns serviços personalizados lidam incorretamente com consultas subsequentes, ocultam campos de forma inconsistente, ou leak extra backend metadata.

Opções úteis e auxiliares:

# Ask IANA first and then follow the authoritative referral (common Linux whois clients)
whois -I example.com
whois -I 8.8.8.8

# Let Nmap follow domain/IP WHOIS referrals automatically
nmap --script whois-domain <target>
nmap --script whois-ip <target>

# For IP ranges, disable the WHOIS cache if you care about smaller delegated blocks
nmap --script whois-ip --script-args whois.whodb=nocache <target>

Interesting fields to pivot on when the service is not fully redacted:

  • Registrar / Org / abuse contact para reportar phishing ou mapear a organização
  • Datas de criação / atualização / expiração para identificar infraestrutura recém-registrada
  • Servidores de nomes para agrupar domínios gerenciados pelo mesmo operador
  • Nomes de servidores de encaminhamento para encontrar infraestrutura WHOIS legada ou esquecida

RDAP como o sucessor estruturado

Mesmo que o serviço exposto seja o WHOIS clássico na porta 43, verifique se o mesmo provedor também oferece RDAP, pois o RDAP costuma ser mais fácil de analisar e melhor para automação:

curl -s https://www.rdap.net/domain/example.com | jq
curl -s https://rdap.arin.net/registry/ip/8.8.8.8 | jq

Uma nuance ofensiva prática: um estudo de medição de 2024 comparando WHOIS e RDAP em escala descobriu que eles não são sempre intercambiáveis, com inconsistências em campos como identificadores de registrar, datas de criação e nameservers. Se seu pipeline de recon depende desses valores, compare ambas as fontes antes de tomar decisões.

Notas Ofensivas

Backend Injection em Gateways WHOIS Personalizados

Além disso, o serviço WHOIS sempre precisa usar um banco de dados para armazenar e extrair as informações. Então, uma possível SQLInjection pode estar presente ao consultar o banco de dados com alguma informação fornecida pelo usuário. Por exemplo, fazendo: whois -h 10.10.10.155 -p 43 "a') or 1=1#" você poderia ser capaz de extrair todas as informações salvas no banco de dados.

Não limite os testes ao SQLi. Em implantações WHOIS internas ou de nicho, a consulta pode ser proxied para:

  • backends SQL / NoSQL
  • diretórios LDAP
  • shell wrappers em torno de outras ferramentas de consulta
  • APIs HTTP usadas por registrar ou portais de gerenciamento de ativos

Portanto, fuzz com payloads para SQLi, LDAP injection, abuso de delimitadores, cadeias de caracteres muito longas e UTF-8 malformado / caracteres de controle. O protocolo em si é simples; a parte perigosa costuma ser o parser ou o código de ligação do backend.

Servidores WHOIS Maliciosos / Obsoletos

Um caminho de ataque relevante em 2024-2025 é abusar da confiança WHOIS desatualizada. Se um registry ou ferramenta altera seu hostname WHOIS e o domínio antigo expira, um atacante pode ser capaz de registrar o hostname antigo e operar um rogue WHOIS server.

Isso dá ao atacante controle sobre o corpo da resposta visto por:

  • clientes WHOIS antigos com mapeamentos de servidor hardcoded
  • aplicações web que buscam a saída WHOIS e a exibem para os usuários
  • automação que ainda usa WHOIS para validação de domínio ou fluxos de trabalho de propriedade

Isso importa porque uma resposta WHOIS rogue pode se tornar um ponto de entrada para:

  • stored/reflected XSS em frontends web WHOIS
  • parser bugs / command injection / eval bugs em bibliotecas que consomem a resposta em texto
  • más decisões de automação quando sistemas confiam em dados de contato WHOIS controlados por um atacante

Quando você encontrar um serviço WHOIS privado ou legado, sempre verifique se os valores retornados refer: / Whois Server:, banners ou mapeamentos de TLD apontam para domínios expirados ou registráveis por um atacante.

Shodan

  • port:43 whois

Comandos Automáticos do HackTricks

Protocol_Name: WHOIS    #Protocol Abbreviation if there is one.
Port_Number:  43     #Comma separated if there is more than one.
Protocol_Description: WHOIS         #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for WHOIS
Note: |
The WHOIS protocol serves as a standard method for inquiring about the registrants or holders of various Internet resources through specific databases. These resources encompass domain names, blocks of IP addresses, and autonomous systems, among others. Beyond these, the protocol finds application in accessing a broader spectrum of information.


https://book.hacktricks.wiki/en/network-services-pentesting/pentesting-smtp/index.html

Entry_2:
Name: Banner Grab
Description: Grab WHOIS Banner
Command: whois -h {IP} -p 43 {Domain_Name} && printf '{Domain_Name}\r\n' | nc -vn {IP} 43

Entry_3:
Name: Nmap WHOIS Referrals
Description: Follow WHOIS referrals for domain and IP lookups
Command: nmap --script whois-domain,whois-ip --script-args whois.whodb=nocache {IP}

Referências

Tip

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporte o HackTricks